ovirt-node-selinux.te

   1 policy_module(ovirt, 1.0.1);
   2 require {
   3     type fixed_disk_device_t;
   4     attribute file_type;
   5     type mount_t;
   6     type qemu_t;
   7     class blk_file { ioctl getattr setattr read write };
   8     class file { mounton getattr read write append entrypoint execute ioctl lock };
   9     class chr_file { getattr read write append ioctl lock };
  10     class fifo_file { getattr read  write append lock ioctl };
  11     class lnk_file { getattr read };
  12     class sock_file { getattr write };
  13     class fd { use };
  14     class process { sigchld signull transition noatsecure siginh rlimitinh };
  15     class filesystem { getattr };
  16     class dir { getattr search read lock ioctl };
  17     class unix_stream_socket { create { ioctl read getattr write setattr append bind connect getopt setopt shutdown } connectto };
  18
  19     type initrc_t;
  20     type unconfined_t;
  21 }
  22 # Give qemu_t access to any block device
  23 allow qemu_t fixed_disk_device_t:blk_file { ioctl getattr setattr read write };
  24 # allow any file to be bindmounted (for /config)
  25 allow mount_t file_type:file mounton;
  26 # allow ovirt-firstboot to run unconfined
  27 # TODO restrict to ovirt_t
  28 #type ovirt_t;
  29 #domain_type(ovirt_t)
  30 #unconfined_domain_noaudit(ovirt_t)
  31 #domain_entry_file(ovirt_t,ovirt_exec_t)
  32 type ovirt_exec_t;
  33 init_daemon_domain(unconfined_t,ovirt_exec_t)